Implementieren von Anwendungssicherheitsgruppen

  • 6 Minuten

Sie können Anwendungssicherheitsgruppen (APPLICATION Security Groups, ASGs) in Ihrem virtuellen Azure-Netzwerk implementieren, um Ihre virtuellen Computer logisch nach Workload zu gruppieren. Anschließend können Sie Netzwerksicherheitsgruppenregeln basierend auf Ihren Anwendungssicherheitsgruppen definieren.

Wichtige Informationen zur Verwendung von Anwendungssicherheitsgruppen

Anwendungssicherheitsgruppen bieten eine anwendungsorientierte Möglichkeit, Ihre Infrastruktur zu betrachten. Sie fügen Ihre virtuellen Computer einer Anwendungssicherheitsgruppe hinzu. Anschließend verwenden Sie die Anwendungssicherheitsgruppe als Quelle oder Ziel in den Regeln für Netzwerksicherheitsgruppen.

Sehen wir uns an, wie Sie Anwendungssicherheitsgruppen implementieren, indem Sie eine Konfiguration für einen Onlinehändler erstellen. Im Beispielszenario muss der Netzwerkdatenverkehr an virtuelle Computer in Anwendungssicherheitsgruppen gesteuert werden.

Diagramm, das zeigt, wie Anwendungssicherheitsgruppen mit Netzwerksicherheitsgruppen kombiniert werden, um Anwendungen zu schützen

Hinweis

Im Diagramm bearbeiten die Anwendungsserver SQL Server-Anforderungen.

Anforderungen für das Szenario

Diese Anforderungen gelten für die Beispielkonfiguration:

  • In diesem Szenario gibt es zwei Ebenen: Webserver und Anwendungsserver.
  • Die Webserver verarbeiten HTTP- und HTTPS-Internetdatenverkehr.
  • Die Anwendungsserver verarbeiten SQL-Anforderungen von den Webservern.

Lösung

Für dieses Szenario muss die folgende Konfiguration erstellt werden:

  1. Erstellen Sie Anwendungssicherheitsgruppen für jede Ebene.

  2. Weisen Sie für jeden Server des virtuellen Computers der entsprechenden Anwendungssicherheitsgruppe seine Netzwerkschnittstelle zu.

  3. Erstellen Sie die Netzwerksicherheitsgruppe und die Sicherheitsregeln.

    • Regel 1: Legen Sie die Priorität auf 100 fest. Zugriff vom Internet auf die Webservercomputer über HTTP-Port 80 und HTTPS-Port 443 zulassen.

      Regel 1 hat den niedrigsten Prioritätswert und damit Vorrang vor den anderen Regeln in der Gruppe. Der Kundenzugriff auf den Onlinekatalog ist bei diesem Design von größter Bedeutung.

    • Regel 2: Legen Sie die Priorität auf 110 fest. Zugriff von den Webservern auf Anwendungsserver über SQL-Port 1433 zulassen.

    • Regel 3: Legen Sie die Priorität auf 120 fest. Zugriff von überall auf Anwendungsservercomputer auf den HTTP- und HTTPS-Ports verweigern.

      Die Kombination aus Regel 2 und Regel 3 stellt sicher, dass nur unsere Webserver auf unsere Datenbankserver zugreifen können. Diese Sicherheitskonfiguration schützt unsere Bestandsdatenbanken vor externen Angriffen.

Zu berücksichtigende Punkte bei der Verwendung von Anwendungssicherheitsgruppen

Die Implementierung von Anwendungssicherheitsgruppen in Ihren virtuellen Netzwerken hat mehrere Vorteile.

  • Berücksichtigen Sie die Wartung von IP-Adressen. Wenn Sie den Netzwerkdatenverkehr mithilfe von Anwendungssicherheitsgruppen steuern, müssen Sie eingehenden und ausgehenden Datenverkehr nicht für bestimmte IP-Adressen konfigurieren. Wenn viele virtuelle Computer in Ihrer Konfiguration vorhanden sind, kann es schwierig sein, alle betroffenen IP-Adressen anzugeben. Wenn Sie Ihre Konfiguration pflegen, kann sich die Anzahl Ihrer Server ändern. Diese Änderungen erfordern möglicherweise, dass Sie anpassen müssen, wie verschiedene IP-Adressen in Ihren Sicherheitsregeln unterstützt werden.

  • Berücksichtigen Sie keine Subnetze. Wenn Sie Ihre virtuellen Computer in Anwendungssicherheitsgruppen organisieren, müssen Sie Ihre Server nicht zusätzlich auf bestimmte Subnetze verteilen. Sie können Ihre Server nach Anwendung und Zweck anordnen, um logische Gruppierungen zu erzielen.

  • Betrachten Sie vereinfachte Regeln Mit Anwendungssicherheitsgruppen entfällt die Notwendigkeit, mehrere Regelsätze zu definieren. Sie müssen nicht für jede VM eine eigene Regel erstellen. Sie können neue Regeln dynamisch auf bestimmte Anwendungssicherheitsgruppen anwenden. Neue Sicherheitsregeln werden automatisch auf alle virtuellen Computer in der angegebenen Anwendungssicherheitsgruppe angewendet.

  • Berücksichtigen Sie die Unterstützung von Arbeitslasten. Eine Konfiguration, die Anwendungssicherheitsgruppen implementiert, ist einfach zu verwalten und nachzuvollziehen, da die Organisation auf der Workloadauslastung basiert. Anwendungssicherheitsgruppen ermöglichen die logische Anordnung Ihrer Anwendungen, Dienste, Datenspeicher und Workloads.

  • Berücksichtigen Sie Service-Tags. Diensttags stellen eine Gruppe von IP-Adresspräfixen aus einem bestimmten Azure-Dienst dar. Sie tragen dazu bei, die Komplexität häufiger Updates für Netzwerksicherheitsregeln zu minimieren. Während Diensttags verwendet werden, um die Verwaltung von IP-Adressen für Azure-Dienste zu vereinfachen, werden ASGs verwendet, um VMs zu gruppieren und Netzwerksicherheitsrichtlinien basierend auf diesen Gruppen zu verwalten.